DPRKハッカーが「EtherHiding」を利用し、EthereumおよびBNBブロックチェーン上でマルウェアをホスト:Google
GoogleのThreat Intelligence Groupは、北朝鮮がEtherHidingというマルウェアを利用していると警告しました。このマルウェアはブロックチェーンのスマートコントラクト内に隠され、暗号資産の窃盗を可能にします。2025年はこのならず者国家による暗号資産強奪の記録的な年になると見込まれています。
Googleの研究者によると、EtherHidingは少なくとも2023年9月以降、ブロックチェーンを悪用して情報窃取型マルウェアを配布する金銭目的の脅威アクターによって使用されてきましたが、国家による利用が観測されたのは今回が初めてです。このマルウェアは、従来のテイクダウンやブロック手法に特に強い耐性を持っています。
「EtherHidingは新たな課題をもたらします。従来のキャンペーンは既知のドメインやIPのブロックによって通常は阻止されてきました」と研究者はブログ投稿で述べ、BNB Smart ChainやEthereumのスマートコントラクトが悪意あるコードのホストとなっていることを指摘しました。マルウェアの作成者は「スマートコントラクトが自律的に動作し、シャットダウンできないため、ブロックチェーンを利用してさらなるマルウェア拡散段階を実行できる」と付け加えました。
セキュリティ研究者が公式ブロックチェーンスキャナーでコントラクトに悪意があるとタグ付けしてコミュニティに警告することは可能ですが、「悪意ある活動は依然として実行可能です」と指摘されています。
北朝鮮のハッキング脅威
北朝鮮のハッカーは今年これまでに20億ドル以上を盗み、その大部分は2024年2月の暗号資産取引所Bybitへの14.6億ドルの攻撃によるものだと、ブロックチェーン分析企業Ellipticの10月のレポートは伝えています。
DPRKはまた、LND.fi、WOO X、Seedifyへの攻撃や他30件のハッキングにも関与しており、これまでに同国が盗んだ総額は60億ドルを超えています。情報機関によれば、これらの資金は同国の核兵器やミサイル開発プログラムの資金源となっています。
ソーシャルエンジニアリング、マルウェアの展開、高度なサイバー諜報活動を組み合わせて、北朝鮮は企業の金融システムや機密データへのアクセスを得るための多様な戦術を開発してきました。政権はそのために偽の企業を設立したり、偽の雇用オファーで開発者を標的にしたりするなど、あらゆる手段を講じる意志を示しています。
Decryptに報告された事例によると、北朝鮮のハッキング組織は現在、非朝鮮人をフロントとして雇い、面接を通過してテック企業や暗号資産企業での職を得る手助けをさせています。雇用主が北朝鮮人が他国の人物を装って面接を受けることに警戒を強めているためです。攻撃者はまた、被害者をビデオ会議や偽のポッドキャスト収録に誘導し、エラーメッセージやアップデートのダウンロードを促して悪意あるコードを含むファイルを実行させることもできます。
北朝鮮のハッカーは従来型のウェブインフラも標的にしており、npmレジストリ(何百万人もの開発者がJavaScriptソフトウェアを共有・インストールするためのオープンソースソフトウェアリポジトリ)に300以上の悪意あるコードパッケージをアップロードしています。
EtherHidingはどのように機能するのか?
北朝鮮が最新の戦術としてEtherHidingを導入したのは2025年2月に遡り、それ以降GoogleはUNC5342(同国のハッキング組織FamousChollimaに関連する脅威アクター)が、ソーシャルエンジニアリングキャンペーンContagious InterviewにEtherHidingを組み込んでいることを追跡しています。
EtherHidingマルウェアの使用は、パブリックブロックチェーンのスマートコントラクトに悪意あるコードを埋め込み、その後、JavaScriptコードが注入されたWordPressサイトを通じてユーザーを標的にするものです。
「ユーザーが侵害されたウェブサイトを訪れると、ローダースクリプトがブラウザ上で実行されます」とGoogleの研究者は説明しています。「このスクリプトはブロックチェーンと通信し、リモートサーバーに保存された主要な悪意あるペイロードを取得します。」
また、マルウェアは読み取り専用の関数呼び出し(例えばeth_call)を利用し、ブロックチェーン上でトランザクションを発生させません。「これにより、マルウェアの取得はステルス性を保ち、トランザクション手数料(ガス代)も回避されます」と指摘しています。「取得後、悪意あるペイロードが被害者のコンピュータ上で実行されます。これにより、偽のログインページの表示、情報窃取型マルウェアのインストール、ランサムウェアの展開など、さまざまな悪意ある活動が引き起こされる可能性があります。」
研究者は「これはサイバー犯罪者の戦術が継続的に進化していることを強調しています」と警告しました。「本質的に、EtherHidingは次世代のバレットプルーフホスティングへのシフトを示しており、ブロックチェーン技術の本来の特性が悪意ある目的で再利用されているのです。」
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
XRPがETFの盛り上がりで大きな復活を目指す
短期的な売り圧力やセンチメントが9ヶ月ぶりの低水準に達しているにもかかわらず、アナリストは機関投資家からの需要が再び高まっていることを背景に、XRPが新たな高値を記録する可能性があると指摘しています。
Ethereum Foundationが今週Holeškyのシャットダウンを開始:次は何が起こるのか?
Ethereum Foundationは、スケーラビリティ向上のためにPeerDASを導入したFusakaアップグレード後、Holeškyテストネットのシャットダウンを開始しました。
BitMineが2億5000万ドル相当のEtherを購入、アナリストは4,440ドルを注視
BitMineによる2億5,100万ドル相当のEther購入は、ETHが4,000ドルを下回った際に行われました。アナリストは短期的に4,440ドルまでの反発を注視しています。
暗号資産業界の嵐の中心 Hyperliquid:取締役会なし、投資家なしの「レバレッジ神器」
わずか11人の分散型取引所Hyperliquidは、匿名性と高いレバレッジを武器に、1日の取引高が130億ドルを超える暗号資産業界の中心的存在となっています。
暗号資産価格
もっと見る
